Ruské skupiny APT zintenzivňují kybernetické útoky na Ukrajinu

Jak válka na Ukrajině ustupuje a plyne, s dnešním příměřím a snahou o bezpečnou evakuaci civilního obyvatelstva, konflikt v kyberprostoru stále zuří. Podle zpráv Google Threat Analysis Group útočí dvě APT podporující ruskou vládu na ukrajinské cíle a jedna čínská jednotka využívá současné situace k úderům na evropské cíle.

Ruské a čínské APT cílí na Ukrajinu a Evropu

Dvěma proruskými entitami, které Google vyzdvihuje jako průkopníky současných kybernetických útoků na ukrajinské cíle, jsou Fancy Bear, známá také jako APT28 , a Ghostwriter – aktivní skupina pro přetrvávající hrozby, která byla na konci roku 2021 napojena na Bělorusko.

Google také hlásí nárůst aktivity tzv. APTMustang Panda, který je spojen s čínskými herci. Čínská organizace se v současnosti zaměřuje na subjekty sídlící v Evropě pomocí phishingových návnad, které souvisí s probíhajícím konfliktem a přílivem uprchlíků v řadě evropských zemí.

Phishingové útoky zahájené proruskými APT využívají dříve kompromitované e-mailové adresy a přesměrovávají potenciální oběti na stránky kontrolované APT – většinou standardní phishingový postup. Google si všiml, že Ghostwriter spouští phishingové kampaně proti ukrajinským a polským vojenským a vládním subjektům.

Google oznámil, že řada domén používaných pro phishing s pověřením již byla zablokována prostřednictvím funkce „bezpečného prohlížení“ společnosti Google. Domény zahrnovaly neobvyklá jména jako „i dot ua-passport dot top“ a „login dot credentials-email dot space“.

Mustang Panda využívá současné uprchlické situace

Mezitím čínský Mustang Panda rozesílá phishingové návnady evropským subjektům a připojuje k e-mailům škodlivé soubory se jmény naznačujícími nějakou důležitou informaci nebo naléhavost. Zpráva Google zmiňuje přílohy s názvy souborů jako „Situace na hranicích EU s Ukrajinou.zip“. Příloha by obsahovala spustitelný soubor, který funguje jako downloader pro konečné užitečné zatížení.

Skupina pro analýzu hrozeb společnosti Google již provedla nezbytná opatření a informovala všechny subjekty a úřady v zemích, na které se phishingové kampaně zaměřují.